内容提要：本文研究ISO 21448中的术语风险框架以及SOTIF验证的相关规范和信息，批判性地讨论内容不足以实施合规的定量SOTIF验证方法，以及提出建设性的改进建议。

摘要

自动驾驶系统是安全关键的物理系统，如果没有基于适当证据的合理论证，就无法假设其预期功能（SOTIF）的安全性。因此，驾驶自动化安全性标准和法规的最新进展，非常关注证明这些系统的预期功能不会给利益相关者带来不合理的风险。在这项工作中，我们批判性地分析了ISO 21448标准，其中包含有关如何验证SOTIF的要求和指南。重点在于开发一致的术语，作为使用定量验收标准定义验证策略的基础。总体而言，我们的目标是实现明确的风险分解，从而为自动驾驶系统的SOTIF提供严格的定量验证方法。

一.简介

确保自动驾驶系统(ADS)的安全运行对于将其广泛引入公共交通至关重要。最近，引入了第157号联合国法规，其中包含自动车道保持系统的型式认证要求，该系统是根据SAE J3016制定的。事实上，据制造商介绍，梅赛德斯-奔驰的ADS已于2022年获得德国道路的型式认证，同时符合联合国第157号法规的要求。德国《具有自动驾驶功能的机动车辆审批和运营法》（AFGBV）也采用了这一规定。

这种类型准入的一个方面是证明系统的安全性。为此，业界制定了ISO 26262和ISO 21448等标准。第一个涉及功能安全，即因项目不符合其规范而产生的风险，而ISO 21448则涉及预期功能的安全 (SOTIF)，即规范本身引起的风险。具体来说，联合国第1号法规的一项要求。第157条规定：[审核员/评估员]应特别胜任审核/评估。对于德国，AFGBV还要求评估符合最新技术水平的系统安全性。根据AFGBV的说法，符合ISO 21448是进行最先进的安全评估的充分标准。因此，制造商和型式审批机构都必须将SOTIF视为基石。

为了实现SOTIF，需要解决所有可能的运行场景中规范的完整性和安全性问题。总的来说，SOTIF之所以受到关注，是因为驾驶自动化水平不断提高，以及它们在开放环境中与普通交通参与者的互动，例如在高速公路上。因为在定义功能时没有正确考虑对抗性环境。因此，ISO 21448于2016年启动，自2019年起作为规范公开，最终于2022年6月发布。

因此，现在可以进行符合ISO 21448的安全档案，如上所述，这对于遵守联合国第157号法规至关重要。此外，安全档案的严格性通过至少要有部分定量验证。因此，我们的研究问题是：ISO 21448如何要求或建议进行定量SOTIF验证？最后，必须能够制定一个实施标准要求的验证策略。

这就需要对ISO 21448进行严格的调查。据我们所知，这项工作是第一个以此类调查为主题的工作。为了充分理解该标准如何处理与风险相关的数量、验收标准和验证目标，我们详细分析了该标准中的定义、它们的关系以及验证方面的规范性和指导性。

具体来说，我们

1)深入研究ISO 21448中的术语风险框架以及SOTIF验证的相关规范和信息，

2)批判性地讨论内容不足以实施合规的定量SOTIF验证方法，以及

3)提出建设性的改进建议。

二.相关工作

从历史上看，汽车行业主动安全特性的评估主要考虑手动驾驶车辆的功能安全，即项目故障产生的风险。为此，ISO 26262是主要来源。它定义了围绕暴露度、可控性和严重性的术语风险框架。这些组件可以定量评估，然后分为离散级别。

当向更高的自动化水平迈进时，规范本身产生的风险变得更加重要——对相关安全方面进行严格量化的需求也变得更加重要。为此，存在实例化ISO 21448提出的要求的方法。之前在PEGASUS内进行的工作旨在通过估计触发环境条件发生的概率来量化暴露程度。

研究人员对自动驾驶的风险评估方法进行了全面调查。其中，作者根据风险评估方法的特性对其进行了分类，包括它们是定性的还是定量的，以及它们是否涉及功能安全、SOTIF或两者兼而有之。与上述调查相反，这项工作旨在使ISO 21448本身对于此类定量方法更加成熟。最接近的相关工作人员提出了对SOTIF触发条件的系统识别，他们已经发现了其中一些不一致之处，并随后使用了他们自己调整的定义。

关于ADS的风险量化，研究人员提出一种特别相关的方法。他们遵循ISO 26262，将与情景类别相关的风险建模为暴露度、严重性和可控性概率分布的预期值的乘积。

在案例研究中，场景类别的暴露程度是根据让经验丰富的人类驾驶员驾驶规定路线所产生的真实世界数据来估计的，而严重性和可控性的预期值是通过仿真来估计的。然而，对于ISO 21448，他们在仿真中纳入了两个触发条件，但没有考虑它们发生的概率。尽管场景类的暴露不能独立于ADS，并且它们的可控性建模以及仿真有效性存在争议，但当前的工作受到了SOTIF严格、定量风险建模的想法的启发。

显然，风险量化也在其他领域得到了检验。在元层面上，ISO/IEC指南51为标准开发人员提供了（术语）建议。

对于与领域无关的系统安全性，Ericson给出了一个著名的危险分析框架（参考资料1，关注牛喀网，后台咨询下载）。对于铁路和航空领域，Filip等人尝试对ADS采用安全量化框架。对于民用航空航天领域，存在全面的风险评估程序，涉及功能安全和与SOTIF类似的主题。整体安全流程由ARP4754A定义，并由ARP4761补充。后者提供了关于如何执行安全分析、生成必要的证据以及针对飞机层面的失效条件（FC）进行整体安全论证的具体指导。

此类顶级FC分为五个严重类别：无安全影响、轻微、严重、危险和灾难性影响。为主要及以上的FC定义了定量安全目标（例如，灾难性FC失效率必须< 10^−9/h）。

三．ISO 21448的术语框架

为了掌握ISO 21448论证框架中量化的作用，了解标准中的基本术语及其用法至关重要。原则上，ISO 21448的术语和定义取自ISO 26262-1，并通过第3条中引入的补充进行补充。图1描述了ISO 21448建议的与量化相关的术语的定义如何相互构建，作为术语的起源。

A.事实分析

ISO 21448的主要目标是确保SOTIF，其定义为“不存在由于[某些特定]危害而导致的不合理风险”。因此，为了理解这一意图，理解术语风险和危害在ISO 21448标准中的应用至关重要。

ISO 26262中已经定义了术语“风险”。ISO 21448采用了“危害发生概率与危害严重程度的组合”的定义。它建立在术语“危害”的基础上ISO 26262将其定义为“对人员的身体伤害或健康损害”。我们需要指出的是，与ISO/IEC标准51等其他标准相比，ISO 26262给出的伤害定义仅指对人员的损害，不包括对财产的损害。除伤害外，风险还基于术语严重性，严重性被定义为“对潜在危害事件中可能发生的一个或多个个人的伤害程度的估计”。因此，严重性不仅基于伤害，还基于危害事件。

危害事件一词具有模糊性，对于其解释，ISO 21448的读者有两种选择：

i)参考ISO 21448给出的“在某个时间点发生的事件”的事件定义，或

ii)将ISO 26262的危害事件定义应用为“危害与运行场景的组合”。

在情况i)中，危害形容词的含义不清楚。ISO 21448的图1、4、12和13 将危害事件描述为危害与“包含危害可能导致伤害的条件的场景”相结合，但省略了明确的定义。

选项ii)不会根据运行场景（“车辆使用寿命期间可能发生的情况”）将危害事件限制在某个时间点。然而，ISO 26262并未定义“场景”一词。事实上，ISO 21448将场景引入为“一系列情景中的几个情景之间的时间关系的描述，在特定情况下，目标和值受到行为和事件的影响”。但缺乏ISO 26262运行情况的定义。此外，“情况”一词仍不明确。

图.1. ISO 21448中与风险评估相关的定义关系。从术语A到B的沿表示A用于B的定义中

关于i)和ii)的另一个问题是危害的定义。ISO 26262将危害定义为“由产品故障行为引起的潜在伤害源”，但将此定义限制在其范围内，“潜在伤害源”的一般定义与ISO/IEC指南51一致。ISO 21448引入了自己的定义，将故障的建议原因替换为“车辆级别的危害行为引起的”。为了理解ISO 21448和ISO 26262的危害定义之间的关系，理解危害行为一词至关重要。尽管它在ISO 21448中经常使用，但两个标准都没有对其进行定义。

除了危害之外，其他术语也建立在危害行为的基础上，即触发条件（“场景的特定条件，作为后续系统反应的引发因素，导致危害行为或无法预防或检测和减轻合理可预见的间接滥用”），性能不足和规范不足（'技术能力的限制导致'规范，可能不完整，导致危害行为或当被一个或多个触发条件激活时，无法预防或检测和减轻合理可预见的间接滥用'）。这些定义结合ISO 21448图1、3、4、12和13的视角，将危害行为描述为可能导致危害并由功能不足（“规范不足或性能不足”引起的行为），由至少一个触发条件激活。然而，这不能构成定义，因为使用危害、触发条件和功能不足会导致循环引用：它们的定义已经建立在危害行为的基础上。

这些模糊性通过术语危害行为、场景和危害事件的定义传播。特别是，风险、危害和功能不足等术语受到影响。因此，即使是术语SOTIF（“由于预期功能或其实现的功能不足而导致的危害，不存在不合理的风险”，将预期功能定义为“规范功能”，被明确定义。

这也会影响所应用的风险分类方案。ISO 21448采用了ISO 26262的术语，按严重程度划分风险，如之前所定义的暴露度（“如果与所分析的失效模式一致，则处于可能危害的运行情况的状态”）和可控性（“通过相关人员的及时反应，可能在外部措施的支持下，避免特定伤害或损害的能力”）。暴露度一词受到有关运行情况场景使用问题的影响。ISO 21448没有调整暴露度的定义，但在图12和13中不包括术语运行情况。相反，暴露度被表示为“包含危害可能导致伤害的条件的场景”的特征[图1、4、12]。这些数字还介绍了导致风险的第四个因素——发生率。它被表示为“包含触发条件的场景”[图12] 的特征，该特征会导致危害行为。其文字描述为“功能运行阶段遇到触发条件的概率”。然而，ISO 21448和ISO 26262均未给出该术语的定义。

其他与风险相关的术语（间接地）受到危害行为、情景和危害事件的模糊性的影响，例如建立在风险之上的接受标准（“代表不存在不合理风险水平的标准”），或验证目标（“证明满足验收标准的值”），它再次建立在验收标准的基础上。让我们指出，风险和验收标准仅指损害。然而，在ISO 21448的论证框架内，风险和验收标准这两个术语也用于其他上下文，其中它们指的是危害行为（在给定场景中）、预期功能、危害（在给定情况下）或危害事件。同样，ISO 21448仍未定义这两个术语在这些上下文中的应用。

B.批判性辩论和建设性意见

上一节揭示了ISO 21448术语中的各种缺陷，这些缺陷甚至导致其中心目标SOTIF的定义不明确。对于认证而言，定量的、经验性的风险评估可能是有益的。但要进行符合标准的量化，就必须清楚地了解风险的构成。因此，在继续分析SOTIF的定量验证之前，我们先解决这些术语上的歧义。我们特别讨论术语“发生”、“危害/危害行为”、“场景”、“危害事件”、“暴露度”和“可控性”。由于我们只关心实现ISO 21448术语的内部一致性，因此我们的建议可能与其他统一风险术语有所不同，例如：正如VVM项目中开发的那样。由于这些术语的目的是外部协调，因此此类术语的范围更广泛。

a)暴露度：触发条件的发生可能未在ISO 21448中定义，但会导致“总体风险”。我们的建议是简单地采用ISO 21448第6.3条中的描述：

定义1（触发条件的暴露度）：在功能的运行阶段遇到触发条件的概率。

b)危害/危害行为：ISO 21448中并未定义术语“危害行为”，尽管一些中心术语是基于该术语的。如上所述，基于其原因或潜在后果的危害行为定义将导致循环引用。为了解决这个问题，我们提出了术语伤害、危害、危害行为、触发条件和功能不足的递归定义，并以伤害作为递归的基础。因此，与ISO 21448相比，我们建议使用ISO/IEC标准51中给出并由ISO 26262注明的危害的一般定义，即仅仅基于伤害。此外，我们提出以下危害行为的定义：

定义2（危害行为）：可能导致危害的功能行为。

通过这两项调整，整个链条，包括触发条件和功能不足，都得到了明确的定义。请注意，ISO 21448以及这项工作的其余部分仅关注“预期功能的功能不足导致的危害”。

c)场景：由于术语“场景”是最先进的基于场景的技术的核心，因此其明确的定义是基础。如上所述，ISO 21448的定义依赖于术语“情况”，而该术语同样未定义。值得注意的是，Ulbrich等人的原始定义并不是基于情况。为了解决这个问题，我们简单地建议要么逐字使用原始定义，要么明确引用Ulbrich等人提供的定义。

d)危害事件：危害事件的主要问题在于其起源于ISO 26262，该标准所依据的术语在两个标准中不一定以相同的方式使用。一般来说，我们指出，此类术语应在ISO 21448第3条中明确列出或注释，同时引用适用的基础术语。在危害事件的背景下，这涉及术语危害和运行情况，如第3-A小节所述。此外，术语“事件”（ISO 21448明确定义为“在某个时间点发生”）包含在危害事件中。然而，目前尚不清楚危害事件是否可以被理解为措辞所暗示的特殊类型的事件，因为其定义既不建立在事件一词的基础上，也没有明确限制于某个时间点。为了实现术语的一致性，我们建议将术语“事件”纳入危害事件的定义中，从而将危害事件限制在某个时间点。此外，我们应用场景定义(ISO 21448)，而不是依赖运行情况(ISO 26262) 以及危害定义 (ISO/IEC指南51)。

定义3（危害事件）：事件是危害和场景的组合，其中包含危害可能导致伤害的条件。

请注意，危害事件的定义影响严重性、风险、SOTIF、验收标准和验证目标，其定义直接或间接基于该术语。因此，这种改编需要注释相应的参考文献。

e)暴露度：暴露度受到与危害事件相同的问题的影响，因为它建立在运行情况和场景的基础上。此外，其定义通过将危害仅限于失效模式来明确解决功能安全问题。由于SOTIF关注的是功能不足引起的危害，因此ISO 21448不能隐含地参考ISO 26262来定义暴露度。因此，我们提出一个涉及正确危害类型的定义：

定义4（暴露度）：处于危害可能导致伤害的条件场景中的状态。

f)可控性：ISO 26262中可控性的定义考虑了相关人员的反应。值得注意的是，这“可以包括驾驶员、乘客或车辆外部附近的人员”。然而，ADS接管了驾驶和监控任务的主要部分，甚至可能需要安全功能，甚至有后备操作员可用。由于ISO 21448声称涵盖了所有级别的驾驶自动化，因此系统本身应该被添加为可控性的贡献者。

C.示例

图2描述了ISO 21448风险模型的示例实例，该模型已适配我们的术语更新。我们重点关注设计时引入的两个功能不足，影响ADS的感知和规划功能：第一个是性能不足，技术上只能有限地观察前方车辆的货物，另外一个是ADS的规范。当货物从前方车辆掉落时，规避机动不足。在运行时激活这些功能不足的触发条件是ADS运行的车辆前面的卡车上存在掉落的冰块。

在第一种情况下，产生的危害行为是未调整的距离。我们强调的是，行为不一定是主动进行的。事实上，疏忽（例如不调整速度或距离）构成了危害行为的重要组成部分。这种行为直接造成与前车距离未调整的单一危害。该示例的第二部分将展示一种危害行为如何引发多种危害。请注意，与ISO 21448的示例相反，我们的示例并未将碰撞声明为危害。这在某些情况下可能是合理的，例如通过安全气囊和安全带分析碰撞的可控性时。但在危害分析期间，特别是针对ADS的行为安全性，人们感兴趣的是不在因果链末端的危害。因此，我们可以确定有效的可控性策略，例如紧急制动，可以在撞击点之前使用。最后，我们指出其他危害行为也可能导致这种典型的危害，例如没有为侧面切入者腾出足够的空间。

虽然未调整的距离可能不会直接对某些参与者造成危害，但如果前方车辆的货物开始掉落，就会导致危害事件。最终，该事件可能导致冰块与ADS运行的车辆发生碰撞，可能对乘客造成伤害。

第二个触发条件是冰块落下，因此相当于前一个示例的场景约束。它可能会导致ADS执行规避操作，但这不一定是危害的。尽管规避动作可以有效减轻危害，但此类行为也可能导致危害，例如：

i)规避机动的方式对相邻车道上的车辆构成危害，或者

ii)车辆开始危险转向，对其乘员构成危害。

多重伤害是可能的。在第一种情况下，我们可以观察到由于与相邻车辆或冰块碰撞而造成的伤害（如果基本事故避免系统阻止躲避机动的后续部分，以避免与相邻车辆碰撞）。在第二种情况下，转弯可能会因翻车或与迎面而来的车辆碰撞而导致受伤。

在示例中，这引起了明确的风险分解：从已识别危害的严重性开始，这些危害可以在各自的危害事件发生后得到控制，而危害事件又是由于暴露于危害而导致的。这种暴露是由其触发条件的出现决定的。

D.关于术语的最后评论

本节至少修复了之前发现的不一致之处，从而能够对建议或要求的定量验证策略进行有根据的后续分析。

即使风险量化方面的术语结构内部一致，但ISO 21448仍然存在悬而未决的问题。例如，与其他标准的外部一致性可能是可取的，但在许多情况下很难实现。损害的定义，其中ISO 26262明确排除了环境和财产损害，该定义随后被ISO 21448采用。然而，其他安全标准（例如ISO/IEC指南51）认为可能适用更广泛的定义，表明采用功能安全的必要性。此外，内部乃至外部可能一致的术语并不能确保它实际上是合理和有用的。例如，预期功能被视为规范功能的同义词，因此SOTIF只关心规范的安全性。显然，社会的需求、工程师的意图及其最终的规范都可能有所不同。

图2. 实例化ISO 21448术语风险框架的拟议更新示例

四．使用定量验收标准验证SOTIF

在本节中，我们分析ISO 21448提供的框架，以研究在使用定量验收标准时如何证明SOTIF。此外，我们根据ISO 21448的具体示例，讨论了从定量验收标准中得出验证目标的过程。我们在上一节调整后的术语的基础上，通过一些建设性建议来补充这些讨论。

A.SOTIF的定量评估

我们首先检查ISO 21448关于SOTIF定量评估的规范部分，即第6、7和9条。

a)事实分析：根据ISO 21448的建议，SOTIF的评估从初始定性风险评估开始。ISO 21448第6条认为，ISO 26262和ISO 21448之间存在显著相似之处，并且关键术语保持不变。标准中未使用ASIL分类，但考虑了严重性、暴露度。可控性延续自ISO 26262。不使用ASIL，而是将严重性和可控性视为二元变量来选择SOTIF相关危害事件，声称唯一相关的信息是它们是否为零。对于危害严重程度和危害事件可控性的估计，他们参考了ISO 26262-3-6。风险评估中不考虑暴露。如果危害事件的严重性或可控性被评估为零，则必须有足够的证据记录。否则，必须制定验收标准，该标准将在第7条中进一步讨论。最后，给出了制定定量接受标准的某些有效理由，包括GAMAB（全球风险平衡）、PRB（正风险平衡），ALARP（尽可能低）和MEM（最小内生死亡率）。

在第7条中，ISO 21448要求使用专家知识对潜在功能不足和相关触发条件进行系统的定性或定量分析，可能得到归纳、演绎或探索性方法的支持。在此过程之后，ISO 21448要求评估包含已识别触发条件的场景，以证明SOTIF是可以实现的。如果“导致危害事件的系统的剩余风险显示低于验收标准，并且没有已知的情况可能导致特定道路使用者的不合理风险”，则会出现这种情况。

在第9条中，ISO 21448阐述了验证目标的相关性，以论证验收标准已得到满足，以及提供满足这些验证目标的证据的策略的必要性。必须为每个依赖于方法的验证目标分配适当的工作和基本原理。为了减少此类验证工作，建议可以考虑暴露性、可控性和严重性。

b)批判性辩论和建设性建议：首先，让我们指出，与航空航天标准、UL 4600或ISO 26262。对于每个条款，“应”语句仅限于“目标”小节，这些小节相当抽象且不具体。特别是，第6、7或9条均不要求对风险进行量化：所有风险都可以定性评估。

虽然在概念阶段进行定性风险评估是合理的，但我们对完全忽略暴露度并降低二元变量的可控性和严重性的决定提出质疑。首先，我们确定有关C=0（“一般可控”）和S=0（“不会造成伤害”）语义的问题，因为C=0仅需要“一般”可控性。因此，它允许给定危害事件的伤害概率较低，但不一定为零，这与S=0的清晰边界形成鲜明对比。此外，这种清晰的定义导致S=0的（相当理论上的）问题不被考虑在内。适用于任何已识别的危害，根据定义，危害导致伤害的概率不为零。将S=0定义为“一般来说没有危害”可以避免这个问题。

尽管从直觉上看，ADS的安全验证需要更严格的风险评估，但与ISO 26262的ASIL分类相比，ISO 21448第6.4条的建议可被视为回归。排除E和二进制的一般推理对C和S的评估应该是充分的，但完全缺失。我们认为这样一个相对重大的变化必须有一个基本原理。

另一个主要问题是第6.5条中残留风险验收标准的规范，这是第9条中定义验证和确认策略的基石。同样，ISO 21448允许定性和定量验收标准，但同时大力提倡定量验收标准（GAMAB、PRB、ALARP、MEM）作为其示例。然而，验证与伤害相关的定量接受标准，例如形式为P(Harm)≤ 10^−x/h，立即需要对残余风险进行定量评估，这又需要对风险相关组件进行定量评估（或至少是估计）。

一旦定义了残余风险的定量接受标准，就可以从中得出验证目标。由于验证目标不附加到风险分解的特定部分，它们可以根据危害程度来定义，也可以根据危害行为甚至触发条件来定义。众所周知，直接基于里程的方法来验证损害概率的上限对于ADS来说是不可行的，因此附加到特定损害的验证目标需要进一步分解，以减少验证工作。不等式（2）和（3）给出了适当风险分解的建议，并将在未来的工作中扩展。

B.定量验证目标的推导

在讨论了这些规范性方面之后，我们现在考虑有关定量验证目标的推导的附录部分，即附录C.2和部分附录C.3。

a)事实分析：ISO 21448的附录C.2提供了从给定的定量验收标准导出验证目标以减少验证工作的示例。在此示例中，验证目标附加到危害行为，并且值得注意的是，根据第6条，每个危害行为都与可接受标准相关联。假设，对于已识别的导致伤害H的事件，接受标准AH给出为由“既定方法”确定的比率。基于此，建议将AH分解为

其中RHB是危害行为的暴露度率，PE|HB ,PC|E和 PS|C 是与危害行为、相应的危害场景、其可控性和潜在严重性相关的条件概率。为了推导所考虑的危害行为的可容忍率，求解方程（1）以获得RHB。然后，使用危害行为的可容忍率来估计相应的验证目标τ，该验证目标描述了足以作为导致H低于或等于AH且置信水平为α的事故率证据的努力。这里，假设给定时间段内所考虑的危害行为遵循泊松分布 s.t. τ = − ln(1 − α)/RHB 。该示例通过人工值计算进行补充，其中假设验收标准是最大频率，并且PE|HB ,PC|E和PS|C从现场数据已知。

b)批判性辩论和建设性建议：我们在给定示例中确定了超出计算示例性特征的三个主要问题。
虽然方程（1）没有进一步解释，但它让人想起将概率分解为条件概率。然而，与给出的符号相反，这种分解需要一些概率的附加条件，例如 PS|C,E,HB 而不是 PS|C 。

此外，对于危害H，通常存在不止一种危害行为或潜在危害场景。因此，在等式(1)中需要对危害行为或场景进行聚合。附件C.2.1省略了这种聚合，甚至没有将其作为简化假设提及。

作为另一种简化，假设数量PC|E, PS|C和PE|HB是“从现场数据已知的”。特别是对于ADS，不能假设它们是独立于系统的。即使是看似独立的量（例如暴露于特定场景）也可能高度依赖于系统的战略决策，例如它的路线规划。因此，这些量需要它们自己的依赖于系统的验证，或者至少需要一个可以独立近似的基本原理。

在讨论了建议的定量验证目标推导的三个主要问题——即条件的错误使用、多种危害行为的缺失聚合以及对系统独立性的假设——之后，我们现在建设性地提出了一种更通用的方法。它解决了上述问题，同时采用了使用条件概率的想法。接受标准通常被指定为一般伤害概率的上限或伤害概率与（最小）严重程度相结合的上限。正如ISO 21448的示例一样，对于给定危害的每个严重程度甚至可以有不同的接受标准。为了分解这种接受标准，第三节中提出的因果链通过考虑危害事件、危害行为和导致伤害的触发条件来分解伤害的可能性。让我们注意到，将该因果链划分为事件的许多其他部分都可以作为这种分解的基础。例如，可以完全省略危害行为，或者可以包括一系列相互关联的危害事件。

让HH , EE, BB和TT分别描述与伤害H、危害事件E、危害行为B和触发条件T的发生相关的事件。此外，让E、B和T描述所有已知的危害事件、危害行为和可能导致所考虑的危害H的触发条件的集合。假设H仅作为由危害事件、危害事件组成的已识别三元组的结果而发生。行为和触发条件，我们建议将Bonferroni不等式与条件概率分解相结合，得出H概率的上限：

如果S是编码不同严重程度的随机变量，那么我们可以类似地结合严重程度S得出伤害概率H的上限:

这些不等式中给出的上限可用于推导验证目标。我们注意到不等式（2）和（3）可能太不准确。在这种情况下，可以应用包含排除标准，尽管随着附加术语的出现，这需要更多的验证工作。在仅存在一个元组的危害事件、危害行为和导致伤害的触发条件H的情况下，不等式(3)右边简化为类似于等式(1)中给出的分解的一项。然而，一般来说，不等式（2）和（3）的聚合不能省略，如例子所示。因此，验证目标的估计需要推导不同被加数的上限。

此外，必须注意的是，一般来说，不等式(2)和(3)中的所有概率都取决于系统，正如已经针对等式(1)所讨论的那样。因此，导出单一验证目标是不够的。为了证明满足验收标准而插入的每个值都需要进行系统相关的验证，或者至少需要一些理由来说明为什么可以省略这一点。未来的研究仍然是研究如何获得和验证不同的概率，以及评估哪些概率是特定验证策略的良好候选者，例如使用仿真。

c)示例：图2中调整后的风险模型的示例性实例说明了方程(1)中关于缺失聚合和上面讨论的系统独立性的错误假设的问题。为此，图2描述了由于冰块与ADS操作的车辆碰撞而导致人员受伤的触发条件、危害行为和危害事件的两个不同的三元组(H1)。假设H1存在定量接受标准，则在从接受标准导出验证目标时需要合并两个三元组。

此外，导致H1的危害事件需要另一车道上的车辆前方分别存在一辆卡车。这些事件的发生取决于所调查的ADS的运行设计域(ODD)以及该系统在其ODD内的战略决策。例如，如果ADS只能部署在另一辆车后面，或者如果其ODD仅限于交通拥堵，则前方卡车的概率会增加——即使是对高速公路路线的偏好也会影响此概率。因此，在这种情况下，给定危害行为的危害事件的暴露并不是独立于系统的。

五.结论和未来工作

在这项工作中，我们总结了深入研究ISO 21448术语和量化指南的结果，特别是关于SAE三级或以上驾驶自动化的验证策略。考虑因素分为事实分析和推导分析。首先，由于一致的术语是严格量化的先决条件，我们提供了微小建议来改进ISO 21448使用的术语。其次，基于这些改进，我们严格审查了ISO 21448的量化指南SOTIF的重点是验收标准和验证目标的推导。最后，建议风险分解应被视为未来工作的理论基础。

为此，作者的目标是完善所提出的风险分解，以便所涉及的量化在原则上是明确定义和可估计的。通过研究真实世界数据或仿真方法，对这些风险相关量及其相关估计方法进行彻底分析，对于实现SOTIF的合理量化（尤其是ADS）似乎是必不可少的。

详询“牛小喀”微信：NewCarRen

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！